• 注册
  • 查看作者
  • 最新变种勒索病毒紧急通告‘’wannaren‘’

    最新变种勒索病毒紧急通告‘’wannaren‘’
    近日,多地爆发了一场急速感染的勒索病毒感染事件。
    团队经研究决定,立即发布该紧急安全通告,防止更多人受到波及影响。
    最新变种勒索病毒紧急通告‘’wannaren‘’
    1#事件简述
    团队成员整理发现,该勒索病毒最早在网上的报告时间,是2020年4月4日下午5时,接下来陆续有人员在百度贴吧、360论坛以及火绒论坛进行求助!
    有消息称已经上报国家互联网应急中心(cncert)
    最新变种勒索病毒紧急通告‘’wannaren‘’
    最新变种勒索病毒紧急通告‘’wannaren‘’
    病毒感染后,显示赎金为0.05个比特币,内容语言为繁体,未明确编写的程序语言
    最新变种勒索病毒紧急通告‘’wannaren‘’
    2#威胁分析
    按照目前情报看来,该病毒有两种形式:
    ①以TXT形式进行感染,②以png图片形式进行感染。
    (两种形式的比特币地址相同,可确定是同一人所为)

    最新变种勒索病毒紧急通告‘’wannaren‘’
    实例情况:
    ①安装火绒的Windows 10感染时,未开启进程监控,无木马病毒报告,但是马上被感染,文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
    ②安装360安全卫士的Windows7感染时,虽然进行了第一时间的查杀,仍然感染,所有文件均被加密,后缀名wannaren,怀疑wannacry永恒之蓝变种
    目前有报告称在安装微软”永恒之蓝“系统补丁后仍可感染(还待考证)

    该病毒特征:

    • 大部分杀毒软件无法进行有效检测和拦截
    • 发现“kms激活工具 19.5.2.exe”为该勒索病毒下载器,该下载器伪装成kms激活工具诱导用户下载
    • 此勒索病毒不利用原版的永恒之蓝漏洞
    • 部分Win7免疫但有弹窗无伤害(可能为盗版团队对系统的安全优化阻止了感染),Win10和Win8.x以及Windows Server系列均可被感染,版本原因正在确认中
    • 会检测识别VM虚拟机,在VM虚拟机上会尝试穿透感染物理机
    • 病毒自带数字签名,可以绕过杀软检测,使用vmp加壳
    • 执行加密操作后会删除自身程序,只留下附属的解密程序


    最新变种勒索病毒紧急通告‘’wannaren‘’
    3#病毒样本
    以下附该病毒样本:
    链接1:  链接 提取码: 485h 
    链接2: 链接 提取码: fydr
    注:该样本不是真实完整病毒样本,已经确定是病毒执行加密操作后,留下的附属解密程序,通过测试发现并不会加密文件,也不会生成本机key,病毒的真实攻击流程还待深究,自行下载测试出现问题本团队概不负责!!!
    病毒样本实体机测试视频链接: 链接

    4#病毒逆向分析

    1. 在“kms激活工具 19.5.2.exe”程序中(现在发现不只这一个程序捆绑病毒),发现捆绑PowerShell恶意代码
    2. 当恶意代码执行时,首先延时2000秒,一定程度上造成用户措手不及,以及无缘无故感染的假象
    3. 接下来将获取并执行 链接
    4. 病毒在 链接

    最新变种勒索病毒紧急通告‘’wannaren‘’
    5#总结

    • 近期不要下载和打开来源不明的文件,不要浏览不明网站;
    • 最好安装所有的更新补丁,装上杀毒软件(推荐火绒);
    • Win10最好开启自带的防火墙,服务器只开放使用到的端口;
    • 此次病毒对Linux和macOS不够成影响,不要散布谣言
    • 及时关注病毒动态,等待安全厂商的官方回应

    6#最新动态
    (本版块将实时更新)

    • 截止到2020年4月6日20时,火绒/安博士/安天/金山毒霸/360/瑞星/若顿/智量/国外某些杀毒软件,已经可以识别病毒并清除(其中除安天/瑞星/智量不用升级外,其他杀毒软件均要升级才能进行防护)
    • Windows自带的防火墙不会报毒
    • 目前病毒可能通过80/221/443端口或CVE-2020-0796漏洞进行传播
    • 病毒有一个TCP连接指向北京海淀区的电信IP:203.208.43.154的443端口
    • 该病毒会检测用户电脑是否能访问Google来判断是否为大陆电脑,疑似是面向中国大陆的攻击
    • 目前国外的攻击报告还没出现
    • 病毒会捆绑更多文件诱导用户下载执行
    • 4月9日,该病毒作者联系火绒安全并提供了有效秘钥:传送见 链接
  • 0
  • 0
  • 0
  • 19
  • 请登录之后再进行评论

    登录

    捐助

    请在小工具里添加二维码

  • 任务
  • 发布
  • 单栏布局 侧栏位置: